Júniusi vírustoplista: vezet a Zafi.B

forrás Prim Online, 2004. július 2. 13:35
A Trend Micro ebben a hónapban mintegy 950 új rosszindulatú kódot (számítógépférget, vírust, trójai és egyéb rosszindulatú programot) azonosított. Júniusban észlelték az első mobilvírust is. De valóban ezt a kódot tarthatjuk-e az első mobiltelefonra íródott vírusnak?
Ez kevesebb a májusi eredménynél, azonban az év korábbi részében megfigyelt magas szintű aktivitás még mindig nagy mértékben érezteti hatását. A Netsky féreg variánsai még mindig nyolc helyet foglalnak el az EMEA (Európa, Közel-kelet, Afrika) régió fenyegetéseinek 10-es toplistáján a Trend Micro statisztikák alapján.

A 10 legjelentősebb fenyegetés a Trend Micro adatai alapján

EMEA 2004. június 1-28.
  1. PE_ZAFI.B
  2. WORM_NETSKY.P
  3. HTML_NETSKY.P
  4. TROJ_DASMIN.B
  5. WORM_NETSKY.B
  6. WORM_NETSKY.D
  7. WORM_NETSKY.X
  8. WORM_NETSKY.Z
  9. WORM_NETSKY.C
  10. WORM_NETSKY.Q

Ebből egyrészt az látszik, hogy még mindig sok olyan számítógép üzemel (különösen az otthoni felhasználók gépei), amelyen nem fut a legfrissebb vírusvédelmi szoftverek valamelyike. Ezek a gépek gyakran DSL kapcsolaton keresztül csatlakoznak az internetre, biztonsági megoldások közbeiktatása nélkül. Másrészt mutatja azt, hogy a hagyományos vírusvédelmi megoldások nem alkalmasak a mai fenyegetések elleni védelemre, valamint hogy még mindig nagyon nagy szükség van a felhasználók oktatására. A fenti fenyegetések egy része leállítható alapvető biztonsági házirendek bevezetésével, például a csatolt fájlok blokkolásával, tűzfalszabályokkal, és a legfrissebb biztonsági javítások folyamatos telepítésével.

A hónap legjelentősebb fenyegetése

A hónap legjelentősebb fenyegetését a PE_ZAFI.B kód jelentette. Ez a rosszindulatú kód a "vegyes fenyegetések" egyik tipikus példája. PE fertőzési képességekkel rendelkező féregként ez a kód e-mailen és a Kazaa, Morpheus, eDonkey és hasonló peer-to-peer (P2P) hálózatokon is terjed.

Ez a féreg memóriarezidens, képes az .exe fájlok felülírására, és azon folyamatok letiltására, amelyek neve a következő szavak valamelyikét tartalmazza:

- regedit
- msconfig
- task

Eltávolítása emiatt még nehezebbé válik. A rosszindulatú kód az emberi hiszékenységet is kihasználja. Az általa kiküldött e-mail látszólag egy baráttól érkezik, mivel olyan gyakori neveket használ, mint például David, Alice, Jennifer. Az e-mail üzenet törzsében és a csatolt fájlban szereplő főbb témák szokásos módon a szexszel és üzlettel kapcsolatosak. A következőkben egy PE_ZAFI.B által készített levél látható:

Feladó: Jennifer
Tárgy: Don`t worry, be happy!
Üzenet szövege:
Hi Honey!

I`m in hurry, but i still love ya...
(as you can see on the picture)

Bye - Bye: Jennifer

Csatolt fájl: www.XXXXXXXX.funny.picture.index.nude.php356.pif

Ez a rosszindulatú kód nem csak angol nyelven terjed. Ez megtévesztheti azokat a felhasználókat, akik tudnak arról, hogy a rosszindulatú kódok általában angol nyelven jelennek meg:

Feladó: Alice
Tárgy: Flashcard fuer Dich!
Üzenet szövege:
Hallo!

Alice hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
http://XXXXXXXX.viewcards/view.php3?card=267BSwr34

Viel Spass beim Lesen wuenscht Ihnen ihr...

Csatolt fájl: link.XXXXXXXX.viewcard34.php.2672aB.pif


EPOC_CABIR - az első valódi mobiltelefon-vírus?

2004. június 15-én azonosították az EPOC_CABIR kódot. De valóban ezt a kódot tarthatjuk-e az első mobiltelefonra íródott vírusnak? Mobiltelefon-vírusok megjelenése már számos esetben felvetődött - mennyiben más ez a mostani? Mennyire jelent komoly fenyegetést az EPOC_CABIR? Amennyiben számottevő, mekkora kárt okozhat?

Napjainkban a mobiltelefonok széleskörű elterjedtségét látva nem meglepő, hogy az embereket foglalkoztatja a mobiltelefon-vírusok kérdése. Mostanáig minden "mobiltelefon-vírusnak" maga az eszköz csupán egyik lehetséges célja volt. Ezzel szemben az EPOC_CABIR ténylegesen a mobil technológia felhasználásával terjed.


VBS_TIMOFONICA - A mobiltelefon a fertőzés célpontja

Kiváló példa a VBS_TIMOFONICA. Mint azt a neve is mutatja, a féreg a Microsoft VB Script programnyelven íródott és e-mailekben terjedt. Ezt úgy valósította meg, hogy összegyűjtötte a fertőzött rendszer címjegyzékében található összes e-mail címet, és ezekre küldte el magát. Ami azonban jelen szempontból lényegesebb: ez a VBS kód a belé kódolt SMS átjáró segítségével képes volt SMS-t küldeni véletlenül választott telefonszámokra. Számos telefontulajdonos kapott üzenetet ezen programtól. A VBS_TIMOFONICA jelenlétét csak Spanyolországból jelentették, és féreg a spanyol nyelvet használta. Bár ez a kód képes volt mobiltelefonok megfertőzésére, nem azokon keresztül terjedt. Mint a férgek általában, számítógépek között terjedt, és a vírusvédelmi megoldások felkészülhettek elfogására. A féreg nem jelentett a mobiltelefonokra nézve veszélyt, mivel csak egy SMS-t küldött nekik. Azt azonban világosan megmutatta, hogy a vírusok szerzői már jó ideje a rosszindulatú kódok terjesztésének új lehetőségeként tekintenek a mobiltelefonra.

Az intelligens telefonok a széles körben elterjedt Java nyelvet használják, és mivel a Java akár a mobiltelefon elleni támadás belépési pontjaként is használható, ezek az eszközök elkerülhetetlenül a vírusírók célpontjaivá váltak. Ezt példázza a június 15-én felfedezett EPOC_CABIR megjelenése is. A kód bluetooth technológia használatával terjed, tehát a kiszemelt célpontnak viszonylag kis távolságra kell lennie a fertőzött eszköztől. Az eszközön ezen kívül a kapcsolatok fogadásának engedélyezése is szükséges. Az EPOC_CABIR felhasználói beavatkozást igényel ahhoz, hogy alkalmazásként telepíthesse magát - a felhasználó megerősítését kéri.

Más rosszindulatú kódokhoz hasonlóan számos felhasználó akkor is engedélyezi a telepítést, ha az üzenet láthatóan idegen forrásból származik.

Az EPOC_CABIR műszaki értelemben nem nevezhető vírusnak, mivel nem képes önállóan terjedni, és nem fertőz meg fájlokat. Ettől függetlenül trójai programnak tekinthető, mivel alkalmazásnak álcázza magát.

Jelenthetik-e a mobiltelefon-vírusok a következő nagy fejezetet a vírusok történetében?

Jelenleg számos különböző tényező szab gátat a mobiltelefon-vírusok elterjedésének.

Elsősorban jelenleg nincs széles körben elterjedt operációs rendszer (amilyen a PC-k esetében a Microsoft Windows). Számos rendszer van jelen a piacon, többek között a Microsoft Windows Pocket PC rendszere, a Palm Palm OS, illetve a Symbian EPOC. Tömeges fertőzés bekövetkeztéhez nem csak az szükséges, hogy a vírusírók az összes ilyen rendszert jól ismerjék, hanem olyan kódot is kell írniuk, ami minden ilyen platformon fut. Az effajta kód jelentős sávszélességet igényel, feltételezhetően nagyobbat, mint amit a szolgáltatók - különösen az Egyesült Államokban és Európában - nyújtanak, ami megintcsak korlátozza a terjedés lehetőségeit. Ez azonban korántsem jelenti azt, hogy a vírusok a jövőben nem fognak fenyegetést jelenteni a mobil eszközökre nézve.

Az EPOC_CABIR azonban kétségkívül világossá teszi, hogy minden új technológiának az előnyök mellett hátrányai is vannak. A féreg jól illusztrálja, hogy még ha a rosszindulatú kód nem is jelent valódi veszélyt (hiszen nem képes a felhasználó rendszerében kárt okozni), a vírusírók mindig keresik "alkotásaik" terjesztésének újabb és újabb módszereit.
Kulcsszavak: vírus Trend Micro

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Törj be a digitális élvonalba: Nevezd ’Az Év Honlapja’ pályázatra!

2024. november 5. 11:59

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51